harshk160/Research---Eliminating-Credential-Stuffing-Attack-Surfaces

# Research---Eliminating-Credential-Stuffing-Attack-Surfaces 消除撞库攻击面：OAuth 2.0 与基于密码认证的对比分析 # OAuth 2.0 与传统认证：撞库防御分析 ## 概述 本代码库包含研究论文《消除撞库攻击面：OAuth 2.0 与基于密码认证的对比分析》的所有代码、数据和配置文件。 ## 引用 如果您使用了本代码或数据，请引用： Kumar, H. (2026). Eliminating Credential Stuffing Attack Surfaces: A Comparative Analysis of OAuth 2.0 and Password-Based Authentication. [Journal Name], [Volume], [Pages]. DOI: [paper DOI] ## 代码库结构 见上方目录树。 ## 系统要求 - Node.js 16+（已在 v24.11.0 上测试） - Python 3.8+（已在 v3.11.0 上测试） - MongoDB 4.4+（已在 v8.2.0 上测试） - 最低 8GB RAM - 操作系统：Windows 11、macOS 12+ 或 Ubuntu 20.04+ ## 安装 ### 后端设置 ``` cd backend npm install # 在 config/database.js 中配置 MongoDB 连接 # 在 config/oauth.js 中设置 OAuth credentials npm start ``` ### 攻击模拟器设置 ``` cd attack-simulator pip install -r requirements.txt python credential_stuffer.py ``` ## 复现说明 1. 启动 MongoDB：`mongod` 2. 启动后端服务器：`cd backend && npm start` 3. 运行攻击模拟：`cd attack-simulator && python credential_stuffer.py` 4. 结果保存至 `data/attack_results.csv` 和 `data/attack_metrics.json` ## 数据文件 - `attack_results.csv`：单次请求日志（202 条请求） - `attack_metrics.json`：汇总统计数据 - `combolist.csv`：101 组测试凭证（100 组合成数据 + 1 组有效） ## 伦理考量 所有实验均在 localhost 上使用合成数据进行。未使用真实用户凭证。详情请参阅 `supplementary/ethical-approval.md`。 ## 许可证 本项目基于 MIT 许可证授权 - 详情请参阅 LICENSE 文件。 ## 联系方式 如有问题：researchwithharsh@gmail.com

标签：AES-256, GNU通用公共许可证, MITM代理, MongoDB, Node.js, OAuth 2.0, Python, T1110.004, Web安全, 凭证填充, 学术研究, 密码安全, 撞库攻击, 攻击模拟, 攻击面, 无后门, 比较分析, 漏洞评估, 蓝队分析, 逆向工具, 防御分析, 驱动签名利用